SliTaz et la sécurité du système
- Politique de sécurité.
- Root - L'administrateur système.
- Busybox - Configuration du fichier /etc/busybox.conf
- Serveur SSH - Options conseillées.
- Firewall Netfilter - Le pare-feu réseau.
- Pscan - Vérifier les ports ouverts ou fermés.
Politique de sécurité
SliTaz porte une grande attention à la sécurité du système. Les applications sont testées de nombreux mois avant d'être inclues dans la distribution. Lors du boot, un minimum de services sont lancés par les scripts rc. Pour avoir une liste des démons lancés au démarrage il faut regarder la variable RUN_DAEMONS du fichier de configuration /etc/rcS.conf.
$ cat /etc/rcS.conf | grep RUN_DAEMONS
Pour connaître les processus actifs, leur PID et leures resources mémoire, vous pouvez utiliser la commande 'ps' pour lister les processus en cours ou lancer l'utilitaire Htop :
$ ps $ htop
Root - L'administrateur système
Root vient de l'anglais racine, sur un système GNU/Linux l'utilisateur
root est l'administrateur système, il a tous les droits sur les
fichiers du système et ceux de tous les utilisateurs. Il est conseillé de ne
jamais se loguer en tant que root et d'utiliser la commande
su
suivie du mot de passe de l'utilisateur root, pour
obtenir les droits absolus. Ne pas se loguer en root et surfer sur internet
par exemple, permet d'avoir une double barrière en cas d'attaque ou d'intrusion
suite à un téléchargement. C'est à dire qu'un cracker tentant de
prendre le contrôle de votre machine, devra d'abord craquer votre mot de passe
pour ensuite tenter de craquer celui de l'administrateur root.
Un système GNU/Linux sécurisé a donc au minimum 2 utilisateurs, un pour travailler et root pour administrer, configurer ou mettre à jour le système. Il est aussi conseillé de confier l'administration du système à une personne.
Busybox
Le fichier busybox.conf, configure les applets, et leurs droits respectifs.
Sur le LiveCD de SliTaz les commandes: su, passwd, loadkmap, mount, reboot,
halt, peuvent être lancées par tous les utilisateurs, le propriétaire et le
groupe des commandes est root (* = ssx root.root
). Le fchier
/etc/busybox.conf
n'est lisible que par root, il a les droits
600. A noter que la commande passwd
ne fonctionne pas bien si
elle n'est pas ssx, les utilisateurs du système ne peuvent pas changer leur
propre mot de passe.
Serveur SSH
Ce petit texte au sujet de la sécurité est un complément à la page titrée
SHell sécurisé (SSH). Sur SliTaz, le serveur
SSH Dropbear n'est pas lancé par défaut, il faut l'ajouter à la variable
RUN_DAEMON
du fichier de configuration /etc/rcS.conf
pour qu'il se lance à chaque démarrage du système. Ou lancer le serveur
manuellement :
# /etc/init.d/dropbear start
Par défaut dropbear est lancé avec les options :
-w N'autorise pas de login pour root. -g N'autorise pas de login avec mot de passe pour root.
Vous pouvez ajouter de nouvelles options en éditant le fichier de configuration
des démons : /etc/daemons.conf
. Pour connaître toutes les options
possibles, vous pouvez taper : dropbear -h
.